如何解决对于第三方代码执行,子 iframe 绝对安全吗?
我正在处理的网站接收第三方不受信任的 Javascript 作为字符串,并且需要 eval() 它。该站点具有敏感 cookie 和 localStorage,不受信任的代码无法访问。
为了解决这个问题,我为同一域中的另一个页面创建了一个子 iframe,其中 allow-scripts 作为唯一的沙箱属性:
<iframe src="..." sandBox="allow-scripts"></iframe>
子节点 iframe 有一个预设方法列表,它可以使用 window.postMessage 根据来自父节点的预期负载执行。子进程接收包含要执行的不受信任的代码的父负载,eval() 将其发送并通过 window.postMessage 将响应作为字符串返回给父进程。
我已经测试并验证了子 iframe 无法访问父 cookie 或 localStorage。
AFAIK 这是安全的,但我想从该地区有经验的人那里知道。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
